赞
踩
目录
目前国内的骨干网南有电信北有网通,除此之外还有移动、教育网等。考虑到不同运营商之间的通信都需要到骨干网进行数据交换,因此跨运营商访问时比较慢。由此很多大型网络设置双出口、甚至多出口来规避这个问题。本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。文档中涉及到目的路由、ISP路由、源路由和策略路由,涉及到等价路由的负载均衡,路由转发权值、线路监控,还有多线路服务器映射后的逆向路由问题。
用户环境描述:用户出口设备使用神州数码DCFW-1800防火墙,内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。外线总共有八条,四条电信线路都是100M带宽,一条网通线路100M,一条教育网线路100M,两条移动线路都是1G。
a) 禁止banip_class地址列表中地址访问外网;
b) cernet_host地址列表外的地址禁止访问discardsite列表中的外网地址(只有前者才能访问后者);
c) cernet_host 地址列表中的地址只通过教育网链路对外进行访问,同时对外访问时不做地址转换;
d) 目标地址在zdserver 列表中,使用电信3 链路进行访问(银行或其他部分对访问地址比较严格的站点);
e) 目标地址是教育网地址段的,通过教育网链路进行访问;
f) 目标地址是移动cmhost 列表铁通crc 列表的通过移动链路进行访问;
g) 目的地址是电信段的走电信线路,其中电信1 和其他三条按8:10 比例;
h) 目的地址是网通和unicom 地址段的通过网通线路访问外网;
i) 源地址在hcsp 列表中的使用电信3 链路进行访问(测试或内网特殊用户);
j) P2P 流量走移动线路;
k) 考虑到八条外线带宽不同转发流量时要按照实际带宽的比例转发,另外很多服务器都是通过电信1 映射,因此电信1 和其他电信线路流量转发按照8:10 的比例。
l) 一旦某条链路出现故障后,该链路不再转发流量。
m) 要求内、外网用户都可以通过域名来访问映射后的服务器。
下面我们将用户需求依次做下分析,并根据路由和策略类型做下分类:需求a、b 通过防火墙策略来控制;需求c、i 可通过源路由实现;需求d、e、f、g、h 设置目的路由即可,考虑到地址列表中地址较多,也可手工创建ISP,通过ISP 路由实现;需求j 就是走策略路由;需求k 其实就是多线路负载均衡,同时要根据线路带宽的不同设置流量转发的比例;需求l 可在不同的外线出口通过设置监控来实现;需求m 需要将其逆向路由关闭,必要时还需要设置策略路由。
将用户的需求做过分析后,下面我们来看下在神州数码多核防火墙上每种需求具体是如何来配置的。
1. 策略控制需求:需求a 禁止banip_class 地址列表中地址访问外网;需求b 只允许cernet_host 地址列表中地址访问discardsite 列表中的外网地址。防火墙默认策略为deny,我们可以通过下面四条策略来实现用户的策略控制需求。
2. 源路由需求:需求c、i 可通过设置源路由方式来实现,针对源地址是cernet_host 地址列表中地址指向教育网网关,针对源地址是hcsp 地址列表中的地址指向电信3 线路网关,下图是源路由配置的部分抓图。另外建议在工程师在配置时,可以先通过web 方式先设置一条源路由,然后在命令行下查看命令,再将地址列表放到txt 文档中通过替换原则完成命令配置,最终在将其粘贴到命令行中完成,这样可以节省配置时间。针对cernet_host 地址只能从教育网路由出去,那就做一个SNAT
规则,规则中不做地址转换即可,这里不再抓图演示。
3. 目的路由/ISP 路由需求:需求d、e、f、g、h 可通过设置目的路由或者ISP 路由方式来实现,本案例中我们采用ISP 路由的方式。防火墙系统自带了China-telecom 和China-netcom 两个ISP 路由表,China-Cernet 路由表我们可以手工上传,其他几个ISP 如crc、unicom、cmnet、zdserver 我们可以手工自己创建,然后将用户提供的地址加入到相应的ISP 列表中。
按用户要求调用相应的ISP 路由表,考虑到线路带宽不同,我们也设置下等价ISP 路由时也可以根据线路带宽设置转发比例,四条电信线路的转发比例是8:10:10:10, 两条移动线路的转发比例是1:1。本案例从全局出发因此设置权值都是100。
4. 策略路由需求:考虑到移动线路带宽较高,针对P2P 视频和P2P 下载我们将其引流到移动线路,可通过设置策略路由来实现。下图中我们设置了一条策略路由, 其中有两条规则,策略路由的规则匹配与策略匹配相同,按照从上到下的匹配顺序, 一旦匹配到不再继续往下匹配。所有我们将内网用户一分为二,将neiwang1 用户的P2P 流量引到移动线路1,其余用户的P2P 流量引流到移动线路2。一定不要忘记将策略路由绑定到内网接口上,否则策略路由不生效。
5. 负载均衡需求:除教育线路外的其他七条外线在设置缺省路由时,考虑到线路带宽值不同,要设置不同的权值。因此四条电信、网通及两条移动的权值比例是8:10:10:10:10:100:100。如下图
6. 线路备份需求:当外网接口在up 状态下,一旦该外线路运行商线路出现故障,考虑到此时与该接口相关的路由是活跃状态。此种情况下肯定会影响内网用户通过该外线的对外访问。线路备份需求就是如一旦某条外线出现了此类故障,其他线路可以分担通过该外线的流量。我们可以通过在设备外网接口设置监控来实现该功能。首先设置名为eth0/6 的监控对象,监控对象中监控该线路网关地址,并设置从0/6 接口发探测报文。 (在5.0版本防火墙里可以直接在web界面接口配置下启用)
track "eth0/6"
ip 58.20.232.1 interface ethernet0/6
下面的设备是网通外网接口下启用该监控对象。
interface ethernet0/6
zone "untrust"
ip address 58.20.*.* 255.255.255.128
monitor track "eth0/6" 如果其他外线也需要线路备份,需要同样的设置。
7. 逆向路由需求:考虑到设备上有些源路由的设置,如果源路由地址中包含了某个服务器地址。外网用户在通过A 链路映射后地址访问服务器时,由于设备上源路由(源路由路由优先级高于静态路由)中该服务器地址指向B 链路出去,那服务器的回包链路问题就会导致用户访问不到服务器。针对这种情况我们需要在A 链路外网接口高级配置中将逆向路由关闭!这样对于回流数据包就会按照初始数据流会话原路返回。
内网用户通过公网地址访问内网服务器也会遇到同样的问题,同样只要将内网接口的逆向路由关闭即可。但是如果针对内网用户设置了源地址从B 链路网关出去, 而再通过A 链路映射后地址去访问服务器时,又会访问不到。这个问题的原因是由于初始数据流未能到达服务器,因此涉及不到逆向路由问题。遇到这个问题解决办法只能是通过设置比源路由优先级更高的策略路由让其初始数据流经防火墙内网口通过核心交换转发即可。 该用户内网有DNS 服务器,因此内网用户通过域名来访问服务器时,解析出的地址是私网地址,不需要我们做任何设置。
多线路出口环境下一些注意的事项在本案例中没有提及,在小结中简要说明下。
1. 对于双线路或者多线路负载均衡条件下,内网机器手工指定的DNS 地址可能不同, 电信、网通、移动、教育都有可能。建议通过设置目的路由,将不同的DNS 地址指向不同的运营商线路。避免出现使用电信线路到网通DNS 去解析造成解析延迟的问题。
2. 接口设置监控时,通过监控目标地址对象来做为该接口是否转发流量的依据。其中发送检测报文设置到两个参数,interval-发送ping 包的时间间隔(默认值是3s), threshold-判断检测失败的警戒值,连续未收到的指定报文的个数(默认值是1 个) 如果遇到链路状态不好的情况下,可能会造成某线路时而可用时而不可用,此时建议将threshold 值修改为3。
3. 多线路负载均衡的方式有三种,默认是by-src-and-dst,另外两种分别是by-src 和by-5-tuple。命令行下通过命令ecmp-route-select 来修改。一些银行网站对安全设置的要求较高,网站会检查访问页面的会话和登陆认证的会话源地址是否相同, 如地址不同便提示登陆地址变化请重新登陆。针对这种情况,我们需要将均衡方式修改为by-src 类型。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。